IT SECURITY & RISK MANAGEMENT

MAKALAH
MATERI IT SECURITY DETECTION AND REACTION

Dosen Pengampu :

Nurbojatmiko M.Kom

Disusun oleh :
KELOMPOK 3

Damayanti Harahap (11150930000080)

Ahmad Labib Alfaleh (11150930000079)
Alifia Afina Zalia (11150930000046)
Fazrin Al Banjari (11150930000089)
Radityo Saputro (111509300000)
Sobri

JURUSAN SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI
UIN SYARIF HIDAYATULLOH JAKARTA
 Abstrak

Seiring dengan Perkembangan Teknologi Informasi saat ini yang selalu berubah,
menjadikan keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan yang
terkoneksi dengan internet. Namun yang cukup disayangkan adalah ketidakseimbangan antara
setiap perkembangan suatu teknologi tidak diiringi dengan perkembangan pada sistem keamanan
itu sendiri, dengan demikian cukup banyak sistem – sistem yang masih lemah dan harus
ditingkatkan dinding keamanannya.

Keamanan suatu jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun
dari luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer
yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut.

Hadirnya firewall telah banyak membatu dalam pengamanan, akan tetapi seiring
berkembang teknolgi sekrang ini hanya dengan firewall keamanan tersebut belum dapat dijamin
sepenuhnya. Karena itu telah berkembang teknologi IDS dan IPS sebagai pembantu pengaman
data pada suatu jarigan komputer. Dengan adanya IDS ( Intrusion Detection System ) dan IPS (
Instrusion Prevention System ), maka serangan – serangan tersebut lebih dapat dicegah ataupun
dihilangkan. IDS ( Intrusion Detection System) berguna untuk mendeteksi adanya serangan dari
penyusup (serangan dari dalam) sedangkan IPS ( Intrusion Prevention System ) berguna untuk
mendeteksi serangan dan menindaklanjutinya dengan pemblokan serangan.
DAFTAR ISI
 BAB I
PENDAHULUAN

Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik
dan juga keamanan secara non fisik. Kemanan secara fisik merupakan keamanan yang cenderung
lebih memfokuskan segala sesuatunya berdasarkan sifat fisiknya dalam hal ini misalanya
pengamanan komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer
tersebut tetap pada tempatnya, kondisi ini sudah sejak lama diaplikasikan dan dikembangkan.
Sedangkan keamaanan non fisik adalah keamanan dimana suatu kondisi keamanan yang menitik
beratkan pada kepentingan secara sifat, sebagai contoh yaitu pengamanan data, misalnya data
sebuah perusahaan yang sangat penting,

Keamanan fisik ataupun keamanan non fisik kedua – duanya sangat penting namung yang
terpenting adalah bagaimana agar jaringan komputer tersebut terhindar dari gangguan. Gangguan
tersebut dapat berupa gangguan dari dalam ( internal ) ataupun gangguan dari luar (eksternal).
Gangguan internal merupakan gangguan yang berasala dari lingkup dalam jaringan infrastruktur
tersebut, dalam hal ini adalah gangguan dari pihak – pihak yang telah mengetahui kondisi
keamanan dan kelemahan jaringan tersebut. Gangguan eksternal adalah gangguan yang memang
berasal daru pihak luar yang ingin mencoba atau dengan sengaja ingin menembus keamanan yang
telah ada.

Untuk melakukan pendektesian dan pencegahan dari hal – hal yang telah disampaikan
diatas, telah banyak dikembangkan sistem ataupun metode untuk melakukan pendekteksian dan
pencegahan tersebut. Metode tersebut dapat berupa IDS (Intrusion Detection System), dimana
metode tersebut mampu melakukan pendeteksian dan pencegahan gangguan dalam jaringan
komputer dan menjaga keamanan jaringan tersebut.

Pada penulisan ini, penulis membuat penjelasan mengenai pengamanan jaringan

komputer dengan metode IDS (Intrusion Detection System) dan reaksi. Penulis akan menuliskan
apakah IDS itu, kelebihannya dan kekuranngannya agar pembaca dapat mengetahui dengan benar
penggunaan IDS (Instrusion Detection System) tersebut dan reaksi nya.
 BAB II
MATERI
1. Introduction

Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang
dapat berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem yang
digunakan untuk melindungi sistem dalam suatu jaringan keamanan agar tetap terjaga.

Keamanan atau Security haruslah memiliki beberapa bagian penting di dalamnya, yaitu :

1. Availability yaitu menjaga akses untuk masuk ke dalam informasi

2. Confidentianlity yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh yang
memiliki hak resmi untuk mengaksesnya.
3. Anonymity yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya
4. Privacy yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan
informasi rahasi yang lain.
5. Identification and Authentication yaitu cara mengetahui identitas user dalam jaringan
komputer.

IDS (Intrusion Detection System) adalah sistem – sistem yang banyak digunakan untuk
mendeteksi dan melindungi atau mencegah sistem keamanan dari serangan – serangan.
Mekanisme keamanan ini dilakukan dengan cara membandingkan paket yang masuk dengan data
– data signature yang ada.

1. Intrusion Detection System (IDS)

IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya

“intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS
(Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System)
akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion
Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,
inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System) adalah sistem
keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion. IDS atau Intrusion
Detection System merupakan sebuah sistem yang bekerja dengan cara melakukan pengawasan
terhadap trafik yang ada di dalam suatu jaringan atau host dan juga melakukan pengawasan
terhadap kegiatan yang berpotensi sebagai serangan di dalam suatu jaringan atau host. Jika
ditemukan kegiatan yang mencurigakan di dalam trafik jaringan, maka IDS akan memberikan
peringatan kepada administrator jaringan. Dalam banyak kasus, IDS juga merespon terhadap
trafik yang tidak normal atau anomali melalui aksi pemblokiran user atau pengguna atau alamat
IP (Internet Protocol) sumber yang melakukan usaha serangan ke dalam suatu jaringan [4].
Secara ideal, IDS harus bebas dari pemberitahuan peringatan yang tidak benar
(false positive or false negative), dapat mendeteksi gangguan dengan tepat, menghindari waktu
respon yang lama dan juga tidak memakan banyak waktu komputasi dalam pemrosesannya [5].
Untuk itu, pemakaian IDS haruslah tepat sasaran sesuai dengan fungsi-fungsinya masing-masing.

Intrusion detection adalah proses monitoring event yang terjadi dalam suatu
jaringan atau suatu sistem komputer dan menganalisanya untuk mengetahui adanya
tandatanda insiden yang mungkin terjadi. Tanda ini bisa saja mengindikasikan adanya
pelanggaran atau ancaman terhadap kebijakan keamanan komputer yang diterapkan.
Insiden bisa terjadi oleh berbagai sebab, seperti malware (misalnya worm, spyware),
akses yang tidak diijinkan, pengguna legal yang menyalahgunakan hak-hak mereka atau
mencoba untuk mendapatkan hak tambahan yang bukan wewenangnya.

Sistem IDS memeriksa kejadian, baik pada trafik jaringan maupun pada sistem
operasi, dan membangkitkan alarm jika terdapat kejadian yang dipercaya merupakan
gejala adanya penyusupan . Dan melakukan sejumlah studi yang meneliti IDS dari
perspektif teknis. Penelitian yang dilakukan pada umumnya menginvestigasi kualitas
teknis sistem terhadap sejumlah variabel, seperti probabilitas sistem dalam mendeteksi
serangan, probabilitas membangkitkan alarm yang keliru (false alarm), kendalakendala
dalam unjuk kerja maupun cakupan serangan.

Intrusion detection (ID) singkatnya adalah usaha mengidentifikasi adanya

penyusup yang memasuki sistem tanpa otorisasi (misal cracker) atau seorang user yang sah
tetapi menyalahgunakan (abuse) privelege sumberdaya sistem ( misal insider threath) .
Intrusion Detection System (IDS) atau Sistem Deteksi Penyusupan adalah sistem komputer
(bisa merupakan kombinasi software dan hardware) yang berusaha melakukan deteksi
penyusupan . IDS akan melakukan pemberitahuan saat mendeteksi sesuatu yang dianggap
 sebagai mencurigakan atau tindakan ilegal. IDS tidak melakukan pencegahan terjadinya
penyusupan. Pengamatan untuk melakukan pemberitahuan itu bergantung pada bagaimana
baik melakukan konfigurasi IDS. Software Agent (selanjutnya disebut agent saja) adalah
entitas perangkat lunak yang didedikasikan untuk tujuan tertentu . Agen bisa memiliki ide
sendiri mengenai bagaimana menyelesaikan suatu pekerjaan tertentu. Sejumlah riset
tentang agentelah membuat bermacam aplikasi, misal untuk distributed meeting scheduler,
network mapping,auction, dan searching database.Masalah keamanan dan kerahasiaan
merupakan salah satu aspek penting dari suatu pesan, data, atau informasi. Dalam hal ini
sangat terkait dengan betapa pentingnya pesan, data, atau informasi tersebut di kirim dan
di terima oleh pihak atau orang yang berkepentingan, apakah pesan, data, atau informasi
masih authenticity. Pesan, data, atau informasi akan tidak berguna lagi apabila di tengah
jalan informasi itu disadap atau dibajak oleh orang yang tidak berhak atau
berkepentingan.( firrar.U., Riyanto B , 2003 )

IDS () juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai
intrusion oleh intruser. Cara kerja IDS () dibagi menjadi dua, yaitu :

 Knowledge Based (Misuse Detection )

Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS(Intrusion
Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket
data kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection
System) tersebut. Database rule tersebut dapat berisi signature – signature paket serangan.
Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule
pada IDS (Intrusion Detection System), maka paket data tersebut dianggap sebagai
seranganm dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan
dengan rule pada database rule pada IDS(Intrusion Detection System), maka paket data
tersebut tidak akan dianggap serangan.

 Behavior Based ( Anomaly Based )

Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi
adanya penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada sistem,
aatu adanya keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai
 contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya
koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan.
Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection
System) Anomaly Based ini dianggap sebagai serangan.

Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,
inappropite yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan diubah
menjadi “rules” ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau
gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS (Intrusion
Detection System) ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.

Jenis-jenis IDS

Network Instrusion Detection System (NIDS)

Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu
jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS
(Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer,
IDS (Intrusion Detection System) menggunakan “raw traffic” dari proses sniffing
kemudian mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat
kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion
Detection System) memberikan allert atau peringgatan sebagai tanda adanya proses intrusi
ke dalam sistem. NIDS (Network Instrusion Detection System) yang cukup banyak dipakai
adalah snort karena signature yang customizable, sehingga setiap vulnerability baru
ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau
intrusion dari intruder akan segera terdeteksi.

cotoh : malihat adanya network scanning

Host Instrusion Detection System (HIDS)

IDS jenis ini bekerja secara individu pada suatu devais di dalam suatu jaringan. HIDS
memonitor paket data yang berasal dari dalam ataupun luar hanya pada satu devais saja
dan kemudian memberikan peringatan kepada user atau pengguna atau administrator di
dalam suatu jaringan akan adanya bahaya serangan atau kegiatan lain yang mencurigakan
yang terdeteksi oleh HIDS serta memantau Anomali di Host dan hanya mampu mendeteksi
pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host
Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah
host seperti perubahan file password dengan penambahan user ber UID 0, perubahan
loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya.

contoh : memonitor logfile, process, file ownership, dan mode.

Passive IDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika
traffic yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan
membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator
atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan
dilakukan terhadap hasil laporan IDS.

Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan
dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga
mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya
dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber
 atau user jika alamat IP sumber atau user tersebut mencoba melakukan serangan lagi
terhadap sistem jaringan di waktu selanjutnya.

Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui
karateristik yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan
tersebut dapat dilakukan secara maksimal.

Karateristik atau sifat yang dimiliki Oleh IDS () pada umumnya :

 Suitability

Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur
jaringan yang dihadapkannya.

 Flexibility

Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi
oleh aplikasi tersebut.

 Protection

Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

 Interoperability

Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-
perangkat keamanan jaringan serta manajemen jaringan lainnya.

 Comprehensiveness

Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian
secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi
dari suatu email serta dapat memblokir address url secara spesifik.
  Event Management

Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses
pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan
updating pada sistem basis data pola suatu gangguan.

 Active Response

Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu
gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi
Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada
jaringannya.

 Support

Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi
lain.

Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection System) sebagai
metode Keamanan :

1. Memiliki Akurasi keamanan yang baik

IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi IDS
(Intrusion Detection System) yang baik adalah IDS (Intrusion Detection System) yang
memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat
sekrarang ini IDS (Intrusion Detection System) telah memiliki ketelitian tinggi, yaitu
mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang
mencurigakan. Selain itu IDS () juga harus mampu memeriksa dan menganalisa pattern
objek secara menyeluruh seperti paket – paket data baik Header Paket maupun Payload
yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas
jaringan sehingga dapat mengenal benar karateristik trafic penyerang.

Oleh karena itu untuk melakukan hal tersebut, IDS (Intrusion Detection System) yang baik
haruslah memiliki karateristik :

 Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).
  Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network
atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke
tujuh pada OSI Layer.
 Memiliki kemampuan untuk melakukan perbandingan secara Context-Base,
Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat mengenal
dan mengetahui jenis exploit yang dipergunakan.
 Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada IP Fragmen (Layer 3).
 Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada TCP Segment.
 Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan
dahbketidakberesan di dalam implementasi protokol (Layer 4).
 Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti :
HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7 ).

2. Mampu Mendeteksi dan Mencegah Serangan.

IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dn juga mampu
untuk melakukan pencegahan terhadap serangan tersebut,

IDS (Intrusion Detection System) yang baik dalam mengatasi serangan adalah IDS
(Intrusion Detection System ) yang memiliki karateristik :

 Dapat beroperasi secara in-line.

 Memiliki kehandalan dan ketersediaan.
 Deliver high performance.
 Kebijakan policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai
dengan yang dibutuhkan.
3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking
IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat
mengenal serangan apa yang belum dikenalnya, seperti contoh IDS(Intrusion Detection
System) harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan
mampu mendeteksi segala sesuatu yang mencurigakan.
 IDS (Intrusion Detection System) yang baik dalam pengenalan attacking adalah IDS
(Intrusion Detection System) yang memiliki karateristik :

 Memiliki AI () sehingga IDS (Intrusion Detection System) tersebut dapat

mempelajari sendiri serangan – serangan yang datang.
 Mampu melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer 3
– Layer 7 ).
 Mampu melakukan scanning TCP dan UDP.
 Mampu memeriksa keberadaan backdoor.
4. Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi.
5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik.
6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.

2. INSIDEN RESPON

Berdasarkan NIST (National Institute of Standards and Technology) Insiden didefinisikan

sebagai pelanggaran terhadap kebijakan keamanan computer, kebijakan yang diterima pengguna
atau standar praktik keamanan komputer. Adapun insiden respon adalah proses mendeteksi dan
menganalisis insiden serta membatasi pengaruh dari insiden. Ketika insiden terjadi, IDS sebagai
software yang bekerja dalam merespon insiden yang ada, memberikan peringatan kepada
administrator lewat peringatan-peringatan yang ada, yaitu :

True Positive (TP) : Ketika penyerang berhasil menyerang jaringan dan IDS juga berhasil
mendeteksi hal tersebut [8].
True Negative (TN) : Ketika penyerang gagal melakukan serangan pada jaringan dan IDS
tidak memberikan laporan terhadap hal tersebut [8].
False Positive (FP) : Ketika penyerang gagal melakukan serangan pada jaringan dan IDS
memberikan laporan terhadap hal tersebut .
False Negative (FN) : Ketika penyerang berhasil menyerang jaringan dan IDS tidak
memberikan laporan tersebut
3. Incident Detection (deteksi insiden)
"Setiap Penyerang meninggalkan jejak". Mengidentifikasi jejak di infrastruktur organisasi
adalah tujuan utama dari Deteksi Insiden dan ini adalah di mana semua teknologi
terdepan, orang-orang berbakat dan proses matang saling terkait. Dari perangkat
perlindungan Perimeter seperti Firewall (Network & Application), IDS / IPS, Sistem
Deteksi Pelanggaran (FireEye, Fidelis, dll.), Untuk Sistem Perlindungan Endpoint seperti
AV-AS, HIDS, adalah sejumlah sistem manajemen keamanan yang membantu untuk
mendeteksi potensi insiden keamanan yang memerlukan tindakan. Bahkan sistem
Keamanan Fisik, sistem kontrol Industri, dll dapat mendeteksi Insiden. Belum pernah ada
deteksi kejadian yang penting dari hari ini dan sangat mengejutkan ketika organisasi di
seluruh dunia ingin melihat Insiden Deteksi sebagai prinsip penting dalam postur
keamanan mereka. Namun sebelum memulai penjelasan dari deteksi Insiden, penting
untuk memahami dasar-dasar deteksi Insiden dan bagaimana hal itu membentuk dasar-
dasar fungsi CSIRT di seluruh dunia. Jadi mari kita mulai dengan pendahuluan.
Peristiwa Keamanan bukan Insiden Keamanan: Peristiwa keamanan bukan insiden
keamanan. Keduanya berbeda dan inilah mengapa Produk dan teknologi keamanan
menghasilkan beberapa item yang dapat ditindaklanjuti. Helpdesk, Konsumen, Bisnis,
Audit dan kepatuhan dan bahkan laporan penjaga keamanan tentang Masalah keamanan.
Semua ini adalah "Peristiwa Keamanan". Namun, tidak semua kejadian ini cukup
 memadai untuk menjadi Insiden Keamanan. Setiap peristiwa harus divalidasi secara hati-
hati untuk Relevansi, Keaslian, Dampak dan Urgensi. Baru setelah validasi awal ini,
sebuah peristiwa memenuhi syarat sebagai insiden keamanan yang perlu diselidiki.
Singkatnya, "Insiden Keamanan adalah Peristiwa Keamanan yang Berkualitas". Jika tim
yang fokus pada setiap peristiwa Keamanan sebagai Insiden Keamanan, itu akan menjadi
mimpi buruk bagian Operasional. Oleh karena itu penting untuk melakukan Event
Management atau Event Handling.

2. Materi I

2.1 Intruder Types

Intrusion detection adalah proses monitoring event yang terjadi dalam suatu
jaringan atau suatu sistem komputer dan menganalisanya untuk mengetahui adanya tanda
–tanda insiden yang mungkin terjadi. Tanda ini bisa saja mengindikasikan adanya
pelanggaran atau ancaman terhadap kebijakan keamanan komputer yang diterapkan.
Insiden bisa terjadi oleh berbagai sebab, seperti malware (misalnya worm, spyware),
akses yang tidak diijinkan, pengguna legal yang menyalahgunakan hak –hak mereka atau
mencoba untuk mendapatkan hak tambahan yang bukan wewenangnya. Beberapa insiden
tidak berbahaya dan biasanya dikarenakan human error, misalnya seseorang salah ketik
alamat komputer dan kemudian tanpa sadar mencoba untuk terhubung ke sistem yang
berbeda tanpa otorisasi. Sedangkan intrusion detection system adalah perangkat lunak
yang mengotomatisasi proses deteksi intrusi (penyusup).

Deteksi intrusi merupakan elemen yang sangat diperlukan dalam sistem

surveilans. Mendeteksi objek bergerak memasuki daerah peringatan dini yang ditetapkan
oleh fungsi pagar virtual, dan dikelompokkan objek bergerak sebagai binatang atau
penyusup manusia. Untuk penyusup manusia, itu menghasilkan peringatan dini dan
intrusi alarm, dan melacak penyusup dengan waktu yang sebenarnya.

2.2 Intrusion Methods

Teknik umum yang digunakan untuk mendeteksi keamanan sistem adalah Intrusion
Detection System (IDS). Intrusion Detection System (disingkat IDS) adalah sebuah metode
yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem
atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound
dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan
intrusi (penyusupan). Agar dapat menghindari serangan yang berbahaya, diperlukan suatu
sistem yang dapat mendeteksi penyusupan yang merupakan awal serangan terhadap sistem.
Saat ini terdapat beberapa jenis IDS yang digunakan, namun unjuk kerja sistem tersebut
umumnya masih menjadi perhatian utama. Sistem IDS memeriksa kejadian, baik pada
trafik jaringan maupun pada sistem operasi, dan membangkitkan alarm jika terdapat
kejadian yang dipercaya merupakan gejala adanya penyusupan dan melakukan sejumlah
studi yang meneliti IDS dari perspektif teknis.

IDS mempunyai dua metode dalam melakukan pendeteksian terhadap intrusi,

yaitu signature based dan anomaly based.

Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-
paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan
basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh
percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja
aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi
keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang
digunakan untuk melakukan deteksi yang diimplementasikan didalam basis data IDS yang
digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak
mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi
jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu
keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru.
 Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan
traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan
identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa
banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang
digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama
lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika
dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

Contoh Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan policy
:

 Akses dari atau menuji ke host yang terlarang

 Memiliki Content atau Patern terlarang (virus)
 Menjalakan program terlarang.
JENIS RESPON YANG DIHASILKAN

Ketika IDS melakukan pengawasan di dalam trafik suatu jaringan, jika ditemui adanya masalah
atau kemungkinan adanya serangan, maka IDS akan memberikan respon kepada administrator
lewat peringatan yang ada. Berdasarkan respon yang dihasilkan oleh IDS, terdapat 2 jenis respon
yang dihasilkan di dalam suatu sistem, yaitu :

Passive System
Pada respon dengan sistem pasif, IDS hanya mendeteksi potensi adanya serangan pada
keamanan, mencatat informasi yang muncul dan juga memberikan peringatan kepada
administrator .

Reactive System
Pada respon dengan sistem reaktif atau biasa dikenal juga dengan nama Intrusion Prevention
System (IPS), IDS tidak hanya melakukan pendeteksian dan pemberian peringatan, namun juga
dapat melakukan reset koneksi atau juga memprogram kembali firewall untuk memblok trafik di
dalam suatu jaringan yang dianggap sebagai serangan

2.3 Intrusion Process

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah
dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh
beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data
yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data
signature IDS yang bersangkutan.

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut

sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin
merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan
dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang
dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan
dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru
dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini
sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih
rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari
banyaknya laporan false positive yang muncul.

Untuk melakukan proses deteksi, administrator akan mengaktifkan mode network

intrusion detection system pada snort dengan menggunakan konsol pada terminal.
Administrator menggunakan perintah yang disesuaikan dengan file rule dan target yang
dideteksi. Snort akan menjalankan mode network intrusion detection system, melakukan
pengambilan paket yang melalui snort, melakukan proses dekoding, melakukan
penyamaan rule dengan paket jaringan yang tertangkap dan menyimpan hasil pendeteksi
 pada basis data MySQL. Hasil tersebut nantinya akan dianalisis oleh BASE (Gambar 2)
yang memungkinkan memudahkan dalam analisis yang dilakukan dan memberikan
laporan (hasil) deteksi pada snort.

2.4 Monitoring System

IDS (Intrusion Detection Sistem) merupakan sebuah sistem monitoring jaringan

yang berfungsi membantu administrator dalam mengamankan jaringan. IDS bisa berupa
sebuah perangkat keras atau perangkat lunak.

Contoh dari IDS berbasis opensource yaitu snort. Snort merupakan sebuah
aplikasi berbasis IDS yang mampu mengenali pola serangan berdasarkan rule yang
dibuat. Setiap serangan yang diidentifikasi oleh snort akan menghasilkan alert yang
nantinya alert tersebut akan diletakkan pada sebuah database sebagai kepentingan
identifikasi oleh administrator.

Salah satu cara agar administrator dapat mengetahui kondisi jaringan secara
langsung adalah dengan mengirimkan pesan notifikasi kepada admin tentang bahaya
terjadi serangan, pesan tersebut dapat dikirim menggunakan layanan SMS gateway
prinsip kerja dari SMS gateway ini adalah mengirimkan notifikasi sesuai dengan format
yang ditentukan oleh administrator apabila database pada snort terisi oleh notifikasi
serangan. Dengan mengirimkan notifikasi secara langsung, maka administrator akan
langsung mengetahui kondisi serta ancaman terhadap jaringan yang dikelolanya.

IDS () tidak hanya bekerja secara sendiri, IDS (Intrusion Detection System) bekerja
mendeteksi gangguan bersama – sama dengan firewall. Mekanisme penggunaan IDS adalah IDS
(Intrusion Detection System) membantu firewall melakukan pengamanan dengan snort ( open
source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering
Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola –
pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port
Destination, Aliran data dan code bit sehingga daat diatur hanya akses yang sesuai dengan policy
saja yang dapat mengakses sestem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk
membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan
izin (allow) oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di
ijinakan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari
para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat
dinamik sehingga harus dikombinasikan penggunaannya dengan IDS (Intrusion Detection System)
untuk membantu sistem hardening atau pengamanan.

Penggunaan software IDS atau Intrusion Detection System merupakan salah satu cara
dalam memproteksi keamanan di dalam jaringan dari serangan atau ancaman dengan
memanfaatkan firewalls dan juga anti virus [3]. IDS itu sendiri melakukan pengawasan terhadap
trafik di dalam jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan [4].
Secara umum, jika IDS mendeteksi adanya kemungkinan serangan, maka IDS akan
memberitahukan kepada administrator lewat peringatan yang ada. Dengan peringatan yang
datang, diharapkan bahwa, administrator dapat mengetahui, trafik yang mengalami gangguan
dan melakukan pendataan terhadap trafik yang masuk ataupun keluar dari jaringan. Sehingga
dapat memaksimalkan pertukaran data dengan baik di dalam jaringan.

IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan
Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca
alert dari IDS (Intrusion Detection System), alert tersebut dapat berupa jenis serangan dan IP
address intruder , kemudian memerintahkan firewall untuk melakukan block ataupun drop akses
intruder tersebut ke koneksi dalam sistem.

Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika
diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host
yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan
sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan
terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket
data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi
masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address
terhadap host – host yang akan diamati.

 Paket Decoder
Paket yang disandikan.
 Preprocessor (Plug-ins)
Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.

 Detection Engine
Rules from signature.

 Output Stage
Alert dan Log.

IDS Hardware Specification

Perangkat keras yang digunakan sebagai sistem deteksi intrusi dalam perancangan
NIDS (network intrusion detection system) memiliki spesifikasi:

 Processor : Intel® Core 2 Duo Processor T5870, 2,0 GHz , 2 MB L2 Cache 800 MHz
FSB

 Memory : 2048 MB DDR2 800 MHz

 Hard disk : 250 GB, 5400 rpm Perangkat keras yang digunakan sebagai server jaringan
(network management) yang berfungsi sebagai router, gateway dan firewall memiliki
spesifikasi:

 CPU : AMD Geode LX800-500 MHz processor

 Memory : 1 x DDR DIMM 400MHz w/o ECC registered Up to 1G with 1 slot

 Ethernet Adapter: 410/100 Mbps (Realtek® 8139CL+)

 Storage : Compact Flash 1 x CompactFlash™ Type II Socket Sistem operasi yang

digunakan oleh sistem deteksi intrusi yang akan di install pada perangkat keras
(hardware) adalah Linux Ubuntu. Ubuntu memiliki dukungan baik yang berasal dari
komunitas Ubuntu dan profesional. Sistem operasi linux Ubuntu yang digunakan yaitu
Ubuntu 12.04 (Precise Pangolin) LTS (Long Term Services). Ubuntu versi ini, akan
memberikan dukungan terhadap sistem keamanan dan perbaikan lainnya hingga April
2014. Perangkat lunak untuk membentuk NIDS sebagai sistem deteksi intrusi adalah
sebagai berikut:
 1. Snort. Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS
(Intrusion Detection System) di industri. Snort merupakan salah satu software untuk
mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan logging
IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau serangan dari
luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting.

Secara default Snort memiliki 3 hal yang terpenting, yaitu :

1. Paket Snifferm
Contoh : tcpdump, iptraf, dll.

2. Paket Logger
Berguna dalam Paket Traffic.

3. NIDS (Network Intrusion Detection System )

Deteksi Intrusion pada Network

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi :

 Rule Snort
Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis
– jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate
secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat
terdeteksi. Rule Snort dapat di download pada website www.snort.org.

 Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu
bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.

 Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine
mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam
mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam
database.
 Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat
digambarkan dalam gambar berikut.

2. Libpcap. Pada bidang komputer administrasi jaringan, pcap (packet capture) terdiri
dari application programming interface (API) untuk menangkap paket jaringan. tidak
seperti sistem Unix dalam mengimplementasikan pcap pada Libpcap library.

3. PCRE. Perl Compatible Regular Expression (PCRE) sebuah pengungkapan dasar

dalam library C yang terinspirasi oleh Perl external interface, yang dikembangkan oleh
Philip Hazel.

4. Libdnet. Libdnet merupakan API dasar pada jaringan yang memiliki akses ke beberapa
protokol.

5. Barnyard2. Barnyard merupakan sistem output yang digunakan pada snort. Snort
menciptakan keluaran binary yang unik dinamakan “Unified”. Barnyard2 membaca file
ini dan kemudian mengirimkan kembali data menuju back-end pada basis data.

6. DAQ. DAQ merupakan API data aquissition yang dibutuhkan oleh snort pada versi
2.9.0 dan selanjutnya.

7. Base. Merupakan aplikasi analisis dan perangkat keamanan. Aplikasi ini

dikembangkan berdasarkan pada projek analysis console for intrusion (ACID).

Aplikasi ini menyediakan front-end berupa web-base yang memudahkan dalam

pengaturannya dan pemeliharaaannya dalam melakukan analisis terhadap intrusi yang
terdeteksi oleh snort.
 Untuk sistem operasi yang digunakan sebagai router adalah sistem operasi
ZeroShell. Zeroshell adalah salah satu dari distro atau distribusi sistem operasi yang
berbasis linux kernel yang dirancang untuk server dan perangkat embedded untuk
layanan utama yang dibutuhkan oleh Jaringan Komputer.

3. Materi II

a. Incident Detection (deteksi insiden)

"Setiap Penyerang meninggalkan jejak". Mengidentifikasi jejak di infrastruktur

organisasi adalah tujuan utama dari Deteksi Insiden dan ini adalah di mana semua
teknologi terdepan, orang-orang berbakat dan proses matang saling terkait. Dari
perangkat perlindungan Perimeter seperti Firewall (Network & Application), IDS / IPS,
Sistem Deteksi Pelanggaran (FireEye, Fidelis, dll.), Untuk Sistem Perlindungan
Endpoint seperti AV-AS, HIDS, adalah sejumlah sistem manajemen keamanan yang
membantu untuk mendeteksi potensi insiden keamanan yang memerlukan tindakan.
Bahkan sistem Keamanan Fisik, sistem kontrol Industri, dll dapat mendeteksi Insiden.
Belum pernah ada deteksi kejadian yang penting dari hari ini dan sangat mengejutkan
ketika organisasi di seluruh dunia ingin melihat Insiden Deteksi sebagai prinsip penting
dalam postur keamanan mereka. Namun sebelum memulai penjelasan dari deteksi
Insiden, penting untuk memahami dasar-dasar deteksi Insiden dan bagaimana hal itu
membentuk dasar-dasar fungsi CSIRT di seluruh dunia. Jadi mari kita mulai dengan
pendahuluan.

Peristiwa Keamanan bukan Insiden Keamanan: Peristiwa keamanan bukan insiden

keamanan. Keduanya berbeda dan inilah mengapa Produk dan teknologi keamanan
menghasilkan beberapa item yang dapat ditindaklanjuti. Helpdesk, Konsumen, Bisnis,
Audit dan kepatuhan dan bahkan laporan penjaga keamanan tentang Masalah
keamanan. Semua ini adalah "Peristiwa Keamanan". Namun, tidak semua kejadian ini
cukup memadai untuk menjadi Insiden Keamanan. Setiap peristiwa harus divalidasi
secara hati-hati untuk Relevansi, Keaslian, Dampak dan Urgensi. Baru setelah validasi
awal ini, sebuah peristiwa memenuhi syarat sebagai insiden keamanan yang perlu
diselidiki. Singkatnya, "Insiden Keamanan adalah Peristiwa Keamanan yang
Berkualitas". Jika tim yang fokus pada setiap peristiwa Keamanan sebagai Insiden
Keamanan, itu akan menjadi mimpi buruk bagian Operasional. Oleh karena itu penting
untuk melakukan Event Management atau Event Handling.

Manajemen Peristiwa: Setiap organisasi harus memiliki proses Manajemen Peristiwa

yang efektif. Filosofi manajemen Peristiwa harus "Banyak masukan (Pelaporan
Peristiwa) namun satu Output (Insiden)". Pada tingkat yang luas ada 2 sumber masukan
utama ke sistem Central Event Management. Mereka dijelaskan di bawah ini:

 Pelaporan Peristiwa Otomatis: Sebagian besar alat dan teknologi Keamanan saat
ini menghasilkan beberapa peristiwa Keamanan setiap hari. Namun, selalu sulit untuk
menangani kejadian ini secara individual bila ada beberapa produk point yang ada di
pasaran saat ini. Tapi, dengan munculnya SIEM, mengumpulkan, mengkorelasikan
dan mengingatkan waktu kejadian keamanan secara nyata sekarang mungkin
dilakukan. Perumusan di SIEM ini dilakukan dengan menggunakan "Use Cases".

 Pelaporan Kejadian Manual: Siapa pun dari Bisnis, Hukum, Konsumen, Pengguna
Akhir dll dapat melaporkan kejadian Keamanan potensial ke organisasi. Umumnya,
sebagian besar organisasi memiliki Helpdesk TI sebagai meja pelaporan utama untuk
masalah tersebut. Pelaporan biasanya dilakukan melalui dan sistem email atau
melalui panggilan telepon. Beberapa organisasi memiliki sistem tiket belanjaan online
untuk melaporkan kejadian semacam itu juga. Namun, ini harus ditangani secara
manual.

Kualifikasi Acara:

Setelah kejadian dilaporkan secara otomatis atau manual, langkah selanjutnya adalah
Event Qualification. Sebelum menentukan apakah kejadian tersebut adalah Insiden
Keamanan atau tidak, beberapa pertanyaan deterministik perlu dijawab. Beberapa di
antaranya tercantum di bawah ini:

 Tanggal - Tanggal penemuan kejadian

 Waktu - Waktu penemuan kejadian

  Zona Waktu - Zona waktu dari sumber kejadian sangat penting saat sistem atau
bisnis tersebar secara geografis

 Bagaimana kejadian itu ditemukan?

 Apa dampak dari peristiwa ini dan lokasi apa yang terkena dampak?

 Apakah kejadian berlangsung terus menerus?

 Informasi kontak Event Reporter?

 Jenis data atau sistem yang terpengaruh (jika tersedia)

Berdasarkan tanggapannya, penentuan awal bisa dibuat mengenai sifat kejadian. Jika
kejadian ini adalalah kejadian yang tidak terkait dengan keamanan, mereka dapat
diarahkan ke masing-masing tim untuk penyelidikan dan penyelesaian lebih lanjut. Jika
kejadian tersebut memang terkait dengan Keamanan, tim tersebut diangkat ke tim
Insiden Deteksi & Tanggap atau tim CSIRT sebagai Insiden Keamanan untuk
penyelidikan dan tanggapan lebih lanjut.

Setelah menghasilkan Insiden

Begitu kejadian dihasilkan dari Event / Events, maka harus diklasifikasikan dan
dikategorikan. Ini adalah fungsi utama fungsi Klasifikasi Insiden.

b.Incident Classification (penentuan insiden)

Begitu kejadian itu terdeteksi, maka perlu dikategorikan secara tepat untuk Jenis,
Tingkat Keparahan dan Dampak sehingga diperlukan tindakan respons yang dapat
dilakukan. Klasifikasi Insiden dengan demikian memiliki dua bagian utama - Satu
adalah Kategorisasi Insiden dan yang lainnya adalah Rating Keparahan Insiden.
Kategorisasi membantu menempatkan kejadian ke dalam wadah umum untuk
penanganan terkoordinasi dan konsisten dengan lebih baik sementara Tingkat
Keparahan membantu dalam menetapkan "sense of urgency" terhadap Insiden yang
terdeteksi. Tanpa Klasifikasi Insiden, fungsi CSIRT dapat dengan cepat terpecah
menjadi tumpukan kekacauan Operasional. Sebenarnya, banyak organisasi berjuang
dengan aspek fungsi CSIRT ini.

Kategorisasi Insiden:

Seperti yang disebutkan di awal, Kategorisasi mirip dengan pembagian wadah.

Namun, pertanyaan terbesar yang dihadapi organisasi adalah "Bagaimana saya
mengatasi insiden wadah?", "Referensi apa yang dapat saya gunakan".

Untuk pertanyaan ini, saya akan menggunakan dua standar kategorisasi yang populer.
Satu jika semua standar kategorisasi NIST yang terkenal, dan yang lainnya adalah
standar kategorisasi PERTAMA.

NIST Kategori:

Badan Federal AS telah berada di garis depan deteksi dan respons Insiden dan mereka
telah menemukan kategori kejadian untuk membantu pelaporan dan tanggapan
Insiden. Pada diagram di bawah ini, Anda dapat melihat kategori NIST yang terdaftar.
Kategori PERTAMA:

Terlepas dari NIST, organisasi seperti FIRST juga telah mengeluarkan beberapa
panduan untuk Kategorisasi Insiden. Diagram di bawah ini menunjukkan salah satu
contoh mereka (dari Cisco) untuk Kategorisasi.
Sekarang, kedua model ini mungkin sama sekali tidak sesuai untuk Anda, namun
secara umum, kami percaya setidaknya memiliki 5 atau 6 Kategori akan membantu
Kategorisasi Insiden yang lebih baik. Sebagai contoh:

 CAT 1 - akses tidak sah, mesin yang dikompromikan, aset yang

dikompromikan, pencurian data, spionase, dll.

 CAT 2 - Denial of Service (DoS / DDoS)

 CAT 3 - Malware atau Kode Berbahaya

 CAT 4 - Reconnaissance atau Scans atau Probe dll.

 CAT 5 - Pelanggaran Kebijakan atau Penggunaan yang Tidak Tepat

 CAT 6 - Lainnya atau Tak Berkatagori

Kategorisasi di atas ini melakukan beberapa hal untuk menggabungkan yang terbaik
dari kedua dunia dari NIST dan FIRST dan memesannya dengan cara yang baik
sesuai urutan kepentingannya. CAT 1 menjadi kategori yang paling kritis dan CAT 6
tidak berkategorasikan.

Tingkat Keparahan Insiden:

Kini setelah Insiden itu dikategorikan, penting untuk menetapkan peringkat

keparahan sama. Tingkat keparahan biasanya dilakukan dengan menggunakan
Likelihood and Impact. Salah satu matriks yang sangat berguna diberikan di bawah
ini.

Seperti yang Anda lihat, peringkat Keparahan pada dasarnya adalah skala 5 langkah
dari Very Low to Critical. Ini memiliki Impact and Likelihood sebagai matriks untuk
membantu menentukan tingkat keparahannya. Baik Dampak dan Kemungkinan
biasanya sewenang-wenang dan diserahkan kepada orang yang menangani Insiden.
Namun, banyak organisasi cenderung mendefinisikan hal ini sebisa mungkin.

Dampak, istilah bisnis yang terkait dengan risiko dapat dihitung dengan
menggunakan Nilai Aset, Klasifikasi Sensitivitas Data, dll. Sementara Kemungkinan
adalah masukan teknis yang muncul dari "Insiden" itu sendiri seperti "Eksploitasi
yang dikenal dengan baik = Mudah Tersedia = Mungkin" atau " Vektor Infeksi Saat
Ini di organisasi kami = Saat ini Penyebaran = Hampir Tertentu ".
 Dalam Ringkasan, Dengan Kategorisasi Insiden dan Tingkat Keparahan, Anda dapat
dengan mudah membuat sebuah insiden sehingga menyelesaikan fase Incident
Classification dari CSIRT Framework.

c. Incident Containment (insiden penahanan)

Setiap insiden membutuhkan investigasi dan respons yang hati-hati. Salah satu
strategi yang sering digunakan adalah Incident Containment. Menurut definisi,
Penahanan insiden adalah fungsi yang membantu membatasi dan mencegah kerusakan
lebih lanjut yang terjadi bersamaan dengan memastikan bahwa tidak ada penghancuran
bukti forensik yang mungkin diperlukan untuk tindakan hukum terhadap penyerang di
kemudian hari.

Pada tahap ini akan dilakukan pencegahan lebih lanjut terhadap kerusakan atau
kebocoran lebih lanjut dari data - data penting / rahasia dari organisasi. Tujuan dari
langkah ini adalah menganalisa pengendalian yang telah dilaksanakan atau direncanakan
untuk meminimalkan atau menghilangkan kemungkinan-kemungkinan ancaman dari
kelemahan atau kekurangan yang ada.

Biasanya, organisasi berpikir bahwa penahanan merupakan langkah proses yang

perlu kita ikuti selama Reaksi Insiden. Namun menurut kami, penahanan insiden harus
menjadi Strategi. Setelah strategi penahanan didefinisikan, masing-masing alat &
teknologi dapat dipilih untuk berpartisipasi dalam pemenuhan strategi. Proses potongan
akhirnya akan menyusul. Strategi penahanan dapat didefinisikan berdasarkan area fokus
di IT Infrastructure. Bisa di perimeter, perimeter yang diperpanjang, tier internal atau
pada titik akhir atau bisa juga kombinasi dari apapun di atas. Sebagian besar, strategi ini
bergantung pada pemahaman infrastruktur TI Anda dan memanfaatkan infrastruktur
dengan sebaik-baiknya. Itulah mengapa hal itu tidak sama untuk setiap organisasi dan
memang begitu. Kami ingin mencantumkan beberapa contoh strategi penahanan di
bawah ini:
  Contoh Perimeter & Extended Perimeter Strategy - Menghentikan
komunikasi keluar dari mesin yang terinfeksi, memblokir lalu lintas
masuk, filter IDS / IPS, kebijakan Firewall Aplikasi Web, DNS rute nol,
tautan gagal ke cadangan, beralih ke pusat data sekunder, dll.

 Contoh Strategi Jaringan Internal - Beralih berbasis isolasi VLAN, isolasi

segmen berbasis router, pemblokiran port, penghentian IP atau MAC
Address, ACL dll.

 Contoh Strategi Endpoint - Melepaskan laptop / desktop, mematikan

server, memblokir peraturan di firewall Desktop, HIPS, dll.

Berdasarkan contoh-contoh ini, bisa didapatkan gambaran tentang bagaimana

masing-masing strategi itu. Penting juga untuk mengkategorikannya sebagai efektifitas
untuk berbagai "Kategori Insiden" yang didefinisikan, sehingga memudahkan untuk
menentukan proses dan prosedur yang spesifik untuk kategori yang ditentukan. Juga,
penting untuk menentukan strategi mana yang "Jangka Pendek" dan mana yang "Jangka
Panjang".

Apa itu Penahanan Jangka Pendek? - Biasanya penahanan jangka pendek adalah
break fix atau quick heal. Tujuan dari penahanan jangka pendek adalah untuk mencegah
aset atau pengguna menyebabkan kerusakan lebih lanjut dalam organisasi. Ini mirip
dengan mekanisme Karantina dalam perangkat lunak AV, di mana tidak dihapus, namun
potensinya untuk menciptakan kerusakan lebih lanjut telah dipadamkan. Semua orang
yang membaca tulisan ini pasti telah menerapkan penahanan jangka pendek dalam
kehidupan mereka. Ingat "cabut stekernya", "blok mac", "nonaktifkan pengguna" dll.
Namun, penting untuk dicatat bahwa ini tidak memperbaiki alasan sebenarnya sebuah
insiden terjadi. Ini juga tidak menghentikan kejadian berulang pada aset yang berbeda
dalam organisasi. Di sinilah penahanan jangka panjang ikut bermain.

Apa itu Jangka Panjang? - Penahanan jangka panjang adalah perbaikan lebar
perusahaan yang merupakan langkah singkat untuk menyelesaikan mediasi ulang dari
akar penyebab insiden atau vektor serangan. Tujuan penahanan jangka panjang adalah
menghentikan pengguna lain atau aset di dalam organisasi agar tidak terkena dampak
insiden yang sama. Masukan untuk penahanan jangka panjang berasal dari fase Incident
Handling dimana investigasi yang tepat telah dilakukan dan kemungkinan vektor
serangan atau metode infeksi telah diidentifikasi. Agar usaha mediasi ulang perusahaan
matang penuh dilakukan, langkah-langkah seperti meletakkan kebijakan perilaku WAF,
tanda tangan SNORT khusus untuk memblokir pola serangan, kebijakan HIPS untuk
penguncian sistem, dan lain-lain dapat dianggap sebagai strategi penahanan jangka
panjang.

Memvalidasi Strategi: Begitu strategi diidentifikasi dan dikategorikan, harus diuji

efektivitasnya di lapangan. Sekarang, validasi semacam itu tidak bisa terjadi selama
kejadian live. Oleh karena itu penting untuk memvalidasi keefektifan strategi, ketepatan
waktu pelaksanaan, pihak yang bertanggung jawab, potensi perangkap, dll. Validasi ini
juga akan membuka jalan untuk merencanakan langkah-langkah proses yang diperlukan
agar rencana penahanan dapat berjalan. Hal ini dapat dilakukan dengan menggunakan
simulasi dan uji coba insiden, yang akan membantu menyempurnakan strategi dan
koordinasi tim.

Efektivitas Pemantauan: Sekarang setelah Anda memiliki strategi Incident

Containment yang telah divalidasi, langkah selanjutnya adalah memastikan bahwa
strategi Anda efektif terhadap Vector Serang. Di sinilah pemantauan Vektor Serang,
Korban Tertarget, Lalu Lintas Keluar dari korban dll menjadi ukuran efektivitas yang
penting. Ini bisa menjadi aturan pemantauan sederhana dalam produk-produk dengan
kerangka waktu pandang ke depan, atau bisa juga merupakan segmentasi jaringan yang
benar-benar dipantau.

Menurut pendapat kami, strategi penahanan yang telah divalidasi, rencana

penahanan rinci dan rutin pemantauan yang efektif bersama-sama membuat Incident
Containment secara keseluruhan dan bermakna. Langkah selanjutnya setelah penahanan
adalah Incident Recovery.

d. Assessing Damage
Assessing damage atau yang biasa disebut menilai kerusakan dalam IT Security
biasanya dilakukan oleh auditor khusus agar dapat mengetahui seberapa kerusakan yang
di alami perusahaan dalam perlindungan data dan keamanan IT.
 Saat ini banyak perusahaan sedang memikirkan bagaimana melindungi asetnya.
Beberapa masalah kriminal seperti penyusupan (cyber vulnerability), perdagangan
orang (convergence of cyber and financial crimes), Foreign Corrupt Practices Act
(FCPA), email compromise dan kegiatan memata-matai berbagai aktivitas dan strategi
ekonomi dari pesaing bisnis (economic espionage). Perusahaan harus
mempertimbangkan kemungkinan terjadinya korupsi internal atau korupsi eksternal,
dan faktor lingkungan yang memberikan berkontribusi terhadap kejahatan tersebut.
Sebagai perlindungan, organisasi dapat menggunakan cyber security, pen testing and
data loss prevention tactics.
Ketika memilih framework untuk kontrol cyber security, panduan dan
framework tidak perlu ditemukan kembali. Organisasi harus memilih salah satu yang
sesuai untuk perusahaan mereka (mis., ITIL atau COBIT), dengan menambahkannya
dan bertanggung jawab untuk hal tersebut. Berikut adalah beberapa framework yang
dapat dipilih:
a. NIST Framework for Improving Critical Infrastructure Cybersecurity
b. ISACA COBIT 5 and the Emerging Cyber Nexus
c. SANS Institute and the Top 20 Critical Security Controls
d. PCI DSS Control Catalog
e. ISO/IEC 27001
f. Other Industry Specific Frameworks: FFIEC, HITRUST, etc.
 Ketiga jalur pertahanan untuk risiko keamanan cyber ini dapat digunakan sebagai
sarana utama untuk mendemonstrasikan dan menyusun peran, tanggung jawab dan
akuntabilitas untuk pengambilan keputusan, risiko dan kontrol untuk mencapai
pengelolaan dan jaminan risiko tata kelola yang efektif.
Operasi bisnis dilakukan day-to-day aktivitas manajemen risiko seperti
identifikasi risiko dan penilaian risiko terhadap risiko TI. Mereka memberikan respons
risiko dengan mendefinisikan dan menerapkan kontrol untuk mengurangi risiko utama
TI, dan melaporkan perkembangannya.
Manajemen risiko adalah proses penyusunan dan penerapan kebijakan dan
prosedur, memastikan bahwa prosedur yang ada selalu diperbaharui, menanggapi
prioritas dan risiko strategis baru, memantau untuk memastikan kepatuhan terhadap
kebijakan yang diperbarui, dan memberikan pengawasan mengenai efektivitas
pengendalian kepatuhan dalam bisnis.
Sebagai lini pertahanan ke-3, langkah apa yang bisa diambil dari internal audit?
1. Bekerja sama dengan manajemen dan dewan direksi untuk mengembangkan
strategi dan kebijakan cyber security mengidentifikasi peluang untuk
memperbaiki kemampuan organisasi untuk mengidentifikasi, menilai dan
mengurangi risiko cyber security ke tingkat yang dapat diterima.
2. Mengakui bahwa risiko cyber security tidak hanya bersifat eksternal; Menilai dan
mengurangi ancaman potensial yang dapat timbul dari tindakan karyawan atau
mitra bisnis.
3. Memperluas hubungan dengan komite audit dan dewan untuk meningkatkan
kesadaran dan pengetahuan tentang cyber security, dan memastikan bahwa dewan
direksi tetap terlibat dalam masalah cyber security dan mengetahui perubahan
sifat risiko cyber security.
4. Pastikan risiko cyber security terintegrasi secara formal ke dalam rencana audit.
5. Kembangkan pemahaman tentang bagaimana teknologi dan tren yang muncul
dapat mempengaruhi perusahaan dan profil risiko cyber security.
6. Mengevaluasi program cyber security organisasi terhadap Cybersecurity NIST
framework, dengan menyadari bahwa framework tidak mencapai tingkat kontrol,
 program cyber security mungkin memerlukan evaluasi tambahan terhadap ISO
27001 dan 27002.
7. Mencari kesempatan untuk mengkomunikasikan kepada manajemen bahwa,
sehubungan dengan cyber security, kemampuan untuk melakukan pencegahan
memerlukan integrasi keamanan antar sumber daya manusia dan teknologi.
8. Tekankan bahwa kontrol cyber security dan cyber incident response harus
menjadi prioritas manajemen puncak; Sebuah protokol eskalasi yang jelas dapat
membantu membuat kasus ini – mempertahankan – dan membuat prioritas ini.
9. Mengkaji setiap staf IT/audit dan kekurangan sumber daya serta kurangnya
teknologi / alat pendukung, yang dapat menghambat upaya pengelolaan risiko
cyber security.

e. Incident Recovery

Insiden tidak bisa dihindari sama sekali, namun kerusakannya bisa sangat
diminimalisir dengan fungsi Deteksi dan Tanggap Insiden yang matang. Dalam Seri
CSIRT, kami telah melihat secara rinci berbagai fungsi yang membentuk kerangka proses
IR yang baik. Incident Containment and Incident Recovery adalah proses gratis.
Sementara penahanan ditujukan untuk menghentikan penyebaran pelanggaran, Pemulihan
adalah tentang bangkit kembali dengan membalikkan ke "keadaan baik yang dikenal".
"Negara yang dikenal baik" menurut kami sangat ambigu dalam maknanya. Ini mungkin
berlaku untuk satu mesin, atau keseluruhan jaringan. Namun, menurut kami, proses
Pemulihan atau kembali ke "Known good state" adalah kombinasi dari tiga sub langkah:

1. Pre-Recovery - Koleksi Bukti Forensik menurut kami adalah langkah Pre-Recovery.

Ini adalah proses yang penting dan penting untuk mengumpulkan dan memelihara
bukti yang mungkin diperlukan untuk melanjutkan tindakan hukum di masa depan.

2. Pemulihan dari Cadangan - Pastikan sistem atau jaringan dikembalikan ke status pra-
pelanggaran.
3. Pasca Pemulihan - Sebagai langkah pemulihan pasca, Remediasi vektor ancaman
sangat penting. Suatu proses untuk memastikan bahwa vektor infeksi atau ancaman
adalah non-isu.

Masing-masing sub langkah ini secara rinci:

 Pra-Pemulihan - Dalam kasus-kasus yang memerlukan tindakan hukum, penting

bagi kami untuk secara jelas mendokumentasikan bagaimana semua bukti
dikumpulkan, dipelihara dan ditangani sehingga dapat diterima di pengadilan. Ini
disebut Koleksi Bukti Forensik. Ini adalah kunci untuk dicatat bahwa persyaratan
hukum bervariasi dari satu wilayah ke wilayah lainnya, yurisdiksi ke yurisdiksi
dan pihak forensik harusnya disadari. Dianjurkan agar beberapa anggota tim
mendapatkan pelatihan forensik komputer dan sertifikasi agar bisa menangani
keseluruhan proses dari ujung ke ujung. Namun, tidak biasa mendapatkan bantuan
pihak ketiga profesional untuk melakukan pengumpulan dan penyelidikan bukti
forensik selama Insiden. Forensik adalah bidang mandiri dan untuk merinci
semua langkah prosesnya, tindakannya tidak praktis. Oleh karena itu, kami telah
mencoba untuk memberikan ringkasan ringkas tentang forensik apa yang
memerlukan:

1. Tentukan masalah hukum terkait kejadian yang mungkin menimbulkan

dampak

2. Tentukan teknologi dan proses dalam lingkup analisis forensik

3. Identifikasi bukti dari mesin atau orang yang terinfeksi. Buktinya bisa
elektronik atau fisik. Dokumentasikan dan Kumpulkan Bukti yang
diidentifikasi mengikuti rantai hak asuh serta lakukan Investigasi dan
Analisis Forensik.

Setelah proses forensik insiden dimulai, kemungkinan insiden tersebut mungkin

perlu direklasifikasi berdasarkan hasilnya. Berdasarkan hal ini, seluruh proses
pemulihan dan remediasi mencapai warna yang berbeda. Sebagai contoh:
Kejadian kode berbahaya pada awalnya diuji dan diklasifikasikan sebagai insiden
 keamanan menengah. Analisis forensik menunjukkan bahwa kode berbahaya
telah menginstal proses pintu belakang tersembunyi yang sekarang dapat dilacak
ke sistem tambahan yang pada awalnya tidak diidentifikasi sebagai terpengaruh.
Insiden tersebut harus direklasifikasi dari insiden keamanan menengah ke insiden
keamanan tinggi.

 Pemulihan dari Cadangan - Jika insiden tersebut sesuai dengan kriteria tingkat
keparahan dan atau dampak tinggi, tim CSIRT harus menentukan apakah
kesinambungan bisnis TI, pemulihan bencana, dan atau prosedur restorasi
cadangan harus dimulai. Alasannya terbatas pada tingkat keparahan dan insiden
berdampak tinggi tidak lain adalah pertimbangan praktis. Tujuan fase Pemulihan
adalah dengan aman mengembalikan sistem yang terkena dampak ke dalam
produksi. Untuk menyelesaikan proses pemulihan tiga langkah berikut harus
diikuti:

1. Validasi sistem yang dipulihkan - Melibatkan meminta basis pengguna

jika sistem beroperasi dengan benar atau membandingkan bahwa port dan
layanan sistem konsisten menggunakan alat profil

2. Mengembalikan Operasi - Melibatkan sistem penempatan menjadi

produksi penuh, memungkinkannya berinteraksi sepenuhnya dengan
perangkat lain di jaringan

3. Pemantauan - Melibatkan sistem pengecekan untuk pintu belakang atau

masalah lain yang mungkin telah lolos dari deteksi sebelumnya. Jika
memungkinkan, pemantauan berbasis host dan jaringan harus digunakan
untuk membandingkan bahwa penyerang tidak meninggalkan pintu
belakang pada sistem.

Pada akhirnya, ketika layanan dipulihkan, sistem harus memiliki pertahanan yang
efektif terhadap serangan di masa depan dari sifat yang sama. Metode akses apa
pun yang mungkin telah digunakan untuk melakukan serangan semacam itu harus
diperbaiki. Saat memulihkan layanan, sistem atau data dari backup yang
diarsipkan, pertimbangan harus diambil berdasarkan jenis serangan, data yang
 terkena dan yang terpenting adalah garis waktu dimana serangan tersebut terjadi.
Informasi ini seharusnya ditemukan dan didokumentasikan sebagai bagian dari
analisis forensik. Langkah ini dalam proses pemulihan sangat penting sehingga
kerentanan, malware atau data yang rusak tidak diperkenalkan kembali ke
lingkungan operasi. Bergantung pada tingkat keparahan kejadian, mungkin
diperlukan pemugaran ulang sistem secara penuh untuk menetapkan kembali
integritas sistem.

 Setelah Pemulihan - Setelah pemulihan selesai, langkah-langkah remediasi

insiden harus diikuti. Sebagian besar waktu, Threat Vector akan menjadi
kerentanan Sistem atau kerentanan Jaringan. Untuk vektor seperti itu, tambalan
yang tersedia atau pembaruan sistem harus diterapkan. Teknik pengerasan sistem
mungkin juga perlu diterapkan dan gambar penyebaran inti mungkin perlu
diperbarui untuk mencegah pengenalan kelemahan di tempat lain di organisasi.
Dalam kasus vektor terkait Non-Kerentanan, akar penyebab harus diidentifikasi
dan perbaikan yang sesuai harus dilaksanakan.

 Kesimpulan - Penting untuk memiliki kemampuan pemulihan fungsi yang

didefinisikan dengan baik dan lancar. Tanpa kemampuan pemulihan, probabilitas
insiden keamanan atau masalah berulang terus berlanjut.
 Bab III

Kesimpulan

Dalam manajemen keamanan informasi terdapat beberapa metode yang dapat digunakan,
yaitu IDS (Intrusion Detection System)

1. IDS (Intrusion Detection System) sangat berguna untuk melakukan manajemen

keamanan informasi dan jaringan karena dengan adanya ketiga metode tersebut maka
gangguan – gangguan atau intrusion yang dapat mengganggu keamanan akan dapat
ditekan.

2. sangat berguna untuk melakukan manajemen keamanan informasi dan jaringan karena
dengan adanya ketiga metode tersebut maka gangguan – gangguan atau intrusion yang
dapat mengganggu keamanan akan dapat ditekan.

3. IDS (Intrusion Detection System) merupakan metode keamanan yang dapat berupa
aplikasi open source ataupun dengan media BOX yang dikembangkan oleh vendor –
vendor jaringan.

4. Sangat penting untuk melakukan manajemen Keamanan informasi. Untuk

melakukannya tidak hanya butuh satu metode keamanan yang sangat baik, tetapi akan lebih
baik dan dibutuhkan beberapa metode keamanan yang saling bekerja sama untuk menutupi
kekurangannya karena selama masih dalam konteks buatan manusia, metode keamanan
tersebut tidak akan sempurna.
 Daftar Pustaka

References
AbdurRahman, N., & Kim-Kwang Raymond Choo. (2014). A Survey of Information Security
Incident Handling in The Cloud. Computers & Security, p. 1-51.

Amato, F., Giovanni Cozzolino, Antonino Mazzeo, & Emilio Vivenzio. (2017). Using Multilayer
Perceptron in Computer Security to Improve Intrusion Detection. Intelligent Interactive
Multimedia System and Services, p. 210-219.

Anif, M., Sindung HWS, & Mokhamad Daman Huri. (2015). Penerapan Intrusion Detection
System (IDS) dengan Metode Deteksi Port Scanning pada Jaringan Komputer di Politeknik
Negeri Semarang. Jurnal Tele, Volume 13 Nomor 1, p. 25-30.

Baddar, S.-H., Alessio Merlo, Mauro Migliardi, & Francesco Palmieri. (2017). Saving Energy in
Aggressive Intrusion Detection Through Dynamic Latency Sensitivity Recognition.
Computers & Security, p. 1-26.

Debar, H., & Jouni Viinikka. (2005). Intrusion Detection : Introduction to Intrusion Detection and
Security Information Management. LNCS 3655, p. 207-236.

Dong, L., NIU Fang, & CAI Jian. (2007). Process Dimensions and Effectiveness of Information
System Planning : An Empirical Study on The Implementation Status of Chinese
Enterprise. Front. Bus. Res. China, Vol. 1 No. 4, p. 483-493.

El Mir, I., Abdelkrim Haqiq, & Dong Seong Kim. (2016). Performance Analysis and Security
Based on Intrusion Detection and Prevention System in Cloud Data Centers. Advances in
Intelligent System and Computing, Vol. 552, p. 456-465.

Elouze, N., Slim Rekhis, Noureddine Boudriga, & Mohamed Allouche. (2017). Powerless Security
for Cardiac Implantable Medical Devices : Use of Wireless Identification and Sensing
Platform. Journal of Network Computer Applications, p. 1-52.

Fenech, J. P., M. S., & Xuguang, H. (2014). Franking Credits and Market Reaction : Evidence
From The Australian Convertible Security Market. Journal of International Financial
Market, p 1-43.

Kabir, E., Jiankum Hu, Hua Wang, & Guangping Zhuo. (2017). A Novel Statistical Technique for
Intrusion Detection System. Future Generation Computer Systems, p. 1-43.

Kantzavelou, I., & Sokratis Katsikas. (2008). A Generic Intrusion Detection Game Model in IT
Security. Trust Bus, p. 151-162.
Kim, S., Su Chang Lim, & Do Yeon Kim. (2017). Intelligent Intrusion Detection System Featuring
a Virtual Fence, Active Intruder Detection, Classification, Tracking, and Action
Recognition. Annals of Nuclear Energy, p. 1-11.

Masse, F. A., Andi Nurul Hidayat, & Badrianto. (2015). Penerapan Network Intrusion Detection
System Menggunakan Snort Berbasis Database MYSQL Pada Hotspot Kota. Jurnal
Elektronik Sistem Informasi dan Komputer STMIK Bina Mulia, Vol. 1 No. 2, p. 1-16.

Mohapatra, S., Prasan Kumar Sahoo, & Shih-Lin Wu. (2016). Big Data Analytic Architecture for
Intruder Detection In Heterogenous Wireless Sensor Network. Journal of Network and
Computer Applications, p. 1-40.

Nugroho, D. A., Adian Fatchur Rochim, & Eko Didik Widianto. (2015). Perancangan dan
Implementasi Intrusion Detection System di Jaringan Universitas Diponegoro. Jurnal
Teknologi dan Sistem Komputer, Vol. 3 No. 2, p. 171-178.

Orojloo, H., & Mohammad Abdollahi Azgomi. (2017). A Game-Theoretic Approach to Model and
Quantify The Security of Cyber-Physical System. Computers in Industry No. 88, p. 44-57.

Santosa, I. (2015). Pengembangan Prosedur Pelaporan Insiden Keamanan Informasi

Menggunakan Standarisasi ISO/IEC 27001 dan 27002. Jurnal Ilmiah Edutic, Vol. 2 No. 1,
p. 1-8.

Sourour, M., Bouhoula Adel, & Abbes Tarek. (2011). Network Security Alerts Management
Architecture for Signature-Based Intrusion Detection System within a NAT Environment.
J Netw Syst Manage, Vol. 19, p. 472-495.

Sugiantoro, B., & Jazi Eko Istianto. (2010). Analisa Sistem Keamanan Intrusion Detection System
(IDS), Firewall System, Database System dan Monitoring System Menggunakan Agent
Bergerak. Seminar Nasional Informatika, p. 21-29.

Wu, H., & Zhonghua Wang. (2018). Multi-Source Fusion Based Security Detection Method for
Heterogenous Networks. Computer & Security, p. 1-36.